# 2.5. Cumplimiento normativo
### 2.5.1. Marco legal aplicable en México
**Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP):** \
Regula cómo empresas privadas en México pueden recolectar, usar, almacenar y compartir datos personales.
**NOM-151-SCFI-2016:** Norma oficial mexicana sobre requisitos de conservación de mensajes de datos y digitalización de documentos.
**Otros marcos complementarios:** Código de Comercio, Ley de Firma Electrónica Avanzada, Lineamientos del INAI.
### 2.5.2. Clasificación de datos según sensibilidad
La LFPDPPP clasifica datos personales en 3 categorías:
**Categoría 1:** Datos personales (protección base)
* Nombre, dirección, teléfono, email, RFC, CURP, fecha de nacimiento, fotos, datos laborales.
**Categoría 2:** Datos Personales Patrimoniales o Financieros (protección reforzada)
* Ingresos, cuentas bancarias, tarjetas, historial crediticio.
**Categoría 3:** Datos Personales Sensibles (protección máxima)
* Salud, origen racial, creencias, afiliación sindical, opiniones políticas, preferencias sexuales, datos biométricos.
Cada categoría tiene obligaciones distintas (aviso de privacidad, tipo de consentimiento, etc.).
### 2.5.3. Checklist de cumplimiento para tu caso de uso
**CHECKLIST - 15 puntos obligatorios antes de poner IA en producción:**
* ☐ 1. Identificación de datos procesados
* ☐ 2. Clasificación de sensibilidad
* ☐ 3. Aviso de privacidad existente
* ☐ 4. Actualización de aviso (si necesario)
* ☐ 5. Consentimiento apropiado
* ☐ 6. Finalidad específica y legítima
* ☐ 7. Principio de minimización
* ☐ 8. Calidad de datos
* ☐ 9. Seguridad técnica (en tránsito y en reposo, acceso restringido)
* ☐ 10. Derechos ARCO implementados (Acceso, Rectificación, Cancelación, Oposición)
* ☐ 11. Responsable designado (persona con contacto)
* ☐ 12. Registro de tratamiento (bitácora)
* ☐ 13. Transferencias internacionales (si usas Groq/cloud)
* ☐ 14. Tiempo de conservación definido
* ☐ 15. Auditoría y logs (who-accessed-what, prompts enviados con qué datos)
{% hint style="danger" %}
🚨 **SANCIONES REALES - NO ES SOLO TEORÍA**
El INAI sancionó activamente a empresas que no cumplían la LFPDPPP:
* Pequeñas empresas: $10K-$50K MXN por infracciones menores.
* Empresas medianas: $100K-$500K MXN por infracciones graves.
* Casos extremos: Hasta $20M MXN por violaciones masivas + clausura temporal.
**Infracciones perseguidas:** no tener aviso de privacidad, transferir datos sin consentimiento, no atender solicitudes ARCO en tiempo, no reportar violaciones de seguridad, uso de datos con chatbots sin aviso de IA.
**Conclusión:** El cumplimiento no es opcional.
{% endhint %}
**Recursos oficiales para profundizar:**
* Guía INAI para MiPyMEs:
* Modelo de aviso de privacidad:
* Lineamientos INAI:
***
### ¡Felicidades por completar la sesión 2!
Has configurado tu stack de Llama (Ollama local o Groq cloud), construido tu biblioteca de prompts con templates optimizados, implementado tu primer prototipo funcional, conectado Llama a tus datos con RAG, y validado cumplimiento normativo LFPDPPP/NOM-151.
Entregables que debes tener ahora:
* ✅ Ollama instalado y corriendo (o cuenta Groq configurada).
* ✅ Biblioteca de Prompts con 3-10 templates testeados.
* ✅ Sistema RAG con 10-20 documentos core cargados.
* ✅ Open WebUI o LM Studio configurado como interfaz.
* ✅ Checklist de cumplimiento legal completado.
* ✅ Prototipo funcional probado con casos reales.
Próximo paso: En sesión 3 profundizarás en RAG avanzado, personalización de respuestas según usuario, y prepararás tu sistema para producción con monitoreo y mejora continua.